Himbauan Keamanan Siber


Bandung - 17 Juni 2026, Cisco merilis security advisory multi-CVE untuk Cisco Identity Services Engine (ISE) dan Cisco ISE Passive Identity Connector (ISE-PIC).

>Salah satu kerentanan paling serius adalah CVE-2026-20181 yang memungkinkan attacker dengan kredensial administratif untuk mengeksekusi perintah sembarang (arbitrary command execution) pada underlying operating system appliance ISE. Setelah berhasil mendapatkan akses user-level, attacker dapat meningkatkan hak akses menjadi root dan mengambil alih penuh kendali atas node ISE.

>Dengan skor CVSS 9.1 (Critical) dan scope CHANGED (kerentanan pada satu komponen ISE berdampak langsung ke komponen lain), CVE ini memerlukan perhatian segera bagi seluruh organisasi yang mengandalkan ISE sebagai pengendali akses jaringan (Network Access Control / NAC).

>Di mana letak masalahnya?

>Cisco ISE menerima input melalui antarmuka web dan API. Pada versi yang rentan, validasi input administratif tersebut tidak memadai.

>Attacker> yang telah memiliki kredensial admin (misalnya melalui default credential, hasil phishing, atau kebocoran kredensial di repositori kode) dapat mengirimkan crafted HTTP request ke endpoint tertentu yang kemudian akan dieksekusi oleh sistem operasi di bawahnya (underlying OS).

>Catatan Matriks Risiko:>

>Meskipun metrik PR:H (Privileges Required: HIGH) mensyaratkan attacker sudah memegang akun admin ISE, ISE adalah sistem kritikal yang mengelola autentikasi seluruh komponen di jaringan.

>Jika satu akun admin ISE berhasil dikompromikan, attacker memiliki kemampuan untuk:

  • >Membuat profil autentikasi berbahaya yang melemahkan kontrol akses.
  • >Mengubah policy RADIUS/TACACS+ untuk memberikan hak akses ke endpoint tidak sah.
  • >Mengeksfiltrasi seluruh kredensial RADIUS yang pernah diproses oleh ISE.

>Tahapan Eksploitasi

  1. >Akses Awal:> Attacker memperoleh kredensial admin ISE yang valid (melalui phishing, default credential, atau kompromi workstation admin jaringan).
  2. >Injeksi Payload:> Attacker login ke antarmuka web ISE dan mengirimkan crafted HTTP request ke endpoint yang rentan.
  3. >Eksekusi OS:> Payload dieksekusi di underlying OS (Cisco ISE berbasis Linux/AdeOS) sebagai user dengan hak terbatas.
  4. >Privilege Escalation:> Attacker melakukan eskalasi hak akses ke tingkat root dengan memanfaatkan kondisi lokal.
  5. >Pengambilalihan Penuh:> Attacker memperoleh kendali penuh atas node ISE, termasuk akses ke database Postgres internal, file konfigurasi, sertifikat, dan log autentikasi.
  6. >Dampak DoS:> Pada deployment single-node, node akan menjadi unavailable (Denial of Service), sehingga seluruh endpoint baru tidak dapat mengakses jaringan hingga node dipulihkan.

>Dampak Keamanan

  • >Kerahasiaan (HIGH):> Kebocoran data autentikasi, profil endpoint, sertifikat RADIUS, dan konfigurasi policy.
  • >Integritas (HIGH):> Modifikasi policy autentikasi untuk meloloskan akses ilegal, serta potensi penanaman backdoor persisten di OS ISE.
  • >Ketersediaan (HIGH):> Node ISE down berakibat pada terganggunya seluruh autentikasi endpoint (Wi-Fi, VPN, wired 802.1X).
  • >Scope CHANGED:> Kerentanan pada satu komponen dapat menyebar dan berdampak ke komponen lain dalam deployment terdistribusi (multi-node PAN/MnT/PSN).

>Versi Terdampak

>Kerentanan ini berdampak pada Cisco ISE dan Cisco ISE-PIC versi 3.x sebelum rilis patch Juni 2026.

>Karena advisory ini merupakan bagian dari multi-CVE bundle, administrator disarankan untuk memeriksa Cisco Software Checker guna melihat matriks patch spesifik yang memperbaiki CVE-2026-20181.

  • >Pengecekan via CLI:> Jalankan perintah show version
  • >Pengecekan via GUI:> Buka menu Administration ? System ? Identity Services Engine

>Langkah Perbaikan & Mitigasi

>1 Penerapan Patch Segera

>Terapkan rilis patch Juni 2026 dari Cisco sesuai matriks panduan di >cisco-sa-ise-multi-G5WP8vv>.

  • >Tip Deployment Multi-Node:> Lakukan patching per node secara bertahap dengan urutan: PSN (Policy Service Node) ? MnT (Monitoring Node) ? PAN (Primary Administration Node) untuk menjaga stabilitas dan availability jaringan.

>2 Rotasi Kredensial Akhir

>Lakukan rotasi atau penggantian pada seluruh password akun admin ISE, kunci SSH, dan sertifikat internal segera setelah proses patching selesai.

>3 Audit Administratif Retrospektif

>Tinjau log aktivitas pada menu Operations ? Log ? System Logs dan AAA Audit dengan rentang waktu sejak 1 Juni 2026 untuk mendeteksi indikasi kompromi, seperti:

  • >Log login admin dari IP/segmen yang tidak dikenal.
  • >Perubahan policy oleh akun admin yang tidak semestinya.
  • >Eksekusi perintah CLI yang tidak biasa.

>Rekomendasi Tambahan (Penguatan Sistem)

  • >Ganti Default Credential:> Pastikan tidak ada lagi penggunaan kredensial bawaan pabrik seperti admin/cisco pada sistem produksi.
  • >Terapkan Role-Based Access Control (RBAC):> Batasi privilege akun administratif. Pisahkan peran network admin, policy admin, dan system admin agar kompromi pada satu akun tidak langsung meruntuhkan seluruh sistem.
  • >Isolasi Akses Manajemen:> Batasi akses ke GUI/API manajemen Cisco ISE. Hanya workstation dari VLAN manajemen khusus yang diizinkan, serta blokir total akses dari segmen user umum atau publik.
  • >Aktifkan Multi-Factor Authentication (MFA):> Terapkan MFA/2FA untuk seluruh akun admin ISE, terutama jika sistem diintegrasikan dengan solusi SSO/SAML.
  • >Pantau Integrasi Active Directory (AD):> Karena ISE terhubung langsung dengan AD untuk membaca data user, pantau adanya anomali query AD sensitif dari node ISE yang berpotensi memicu serangan lateral (lateral movement).

>Penutup

>Cisco ISE merupakan salah satu solusi Network Access Control (NAC) yang vital di lingkungan enterprise dan instansi pemerintah untuk mengendalikan akses Wi-Fi, VPN, dan wired 802.1X. Kerentanan CVE-2026-20181 ini menjadi pengingat bahwa kredensial administratif adalah aset kritis yang harus dilindungi secara berlapis.

>Jabar-CSIRT merekomendasikan kepada seluruh pengelola operator Cisco ISE di lingkungan Pemerintah Daerah untuk segera melakukan verifikasi versi, menerapkan patch, merotasi kredensial, dan melakukan audit log secara berkala.

Sumber Referensi:

>